下载文档原格式
端口聚合用途端口聚合,也被称为链路聚合、链路捆绑或端口绑定,是一种将多个物理端口组合成一个逻辑端口的技术。
它广泛应用于计算机网络中,以提供高带宽、高可用性和负载均衡的服务。
在本文中,我将详细介绍端口聚合的用途及其优势。
首先,端口聚合能够提供更高的带宽。
通过将多个物理端口绑定成一个逻辑端口,数据包可以同时通过这些端口进行传输,从而提高了传输速率和总带宽。
举例来说,如果有两条千兆以太网链路进行端口聚合,那么总带宽将增加到两倍的千兆带宽,从而满足高带宽需求的场景,如数据中心的服务器间通信或大规模文件传输等。
其次,端口聚合还能提高网络的可靠性和冗余性。
在端口聚合中,如果某个物理端口发生故障,其他正常工作的端口可以接管该端口的工作,从而确保网络的连通性和数据的稳定传输。
这种冗余性的设计可以提高网络的可用性,对于需要高可靠性的应用场景尤为重要,如关键业务的网络连接或重要数据的传输等。
此外,端口聚合还可以实现负载均衡。
当网络中有多个链路时,端口聚合可以将传输负荷平均分布到各个物理端口上,从而提升网络的整体性能。
负载均衡可以使得多条链路在同等负载下都能充分利用,避免链路的拥塞和过载,从而提高了数据传输的效率和响应速度。
这对于需要处理大量数据或高并发的应用场景尤为重要,如网站负载均衡或视频流媒体服务等。
此外,端口聚合还可以提供更高的安全性。
通过聚合多个物理端口,可以分散网络流量,降低攻击者对单一端口的攻击风险。
如果某个链路遭到攻击,其他正常工作的端口可以接管其工作,从而保证网络的正常运行。
在安全要求较高的网络环境中,端口聚合可以提供一种基于冗余的安全设计,提高了网络的抗攻击能力。
总结起来,端口聚合的主要用途包括提供高带宽、高可用性、负载均衡和更高的安全性。
它适用于数据中心、企业内部网络、云计算、电信运营商和互联网服务提供商等各种网络环境中。
通过将多个物理端口绑定成一个逻辑端口,端口聚合可以显著提高网络的性能、可靠性和安全性。
IP/MAC/PORT端口绑定最近,笔者开发了计算机开机入网监控管理程序(实现外单位机器接入我单位内联网络、内部员工非上班时间未经批准连接内联网络实时报警信息发送到部门负责人手机上),使用环境架构如图1所示。
在开发过程中用到交换设备的IP、MAC、PORT端口绑定技术。
IP、MAC、PORT绑定功能1.便于客户端接入管理客户端须提出申请,经网管人员批准并配置设备后,方能接入网络,避免未经许可的接入。
2.限制客户端接入即使客户端已通过某个端口接入网络,但必须是通过申请的电脑才能接入。
如果网卡没换而电脑换了,此法无效,因此只适用于粗懂电脑的人。
3.限制许可连接电脑的物理位置仅许可某个IP或某范围IP可以对服务器进行连接,绑定功能还可以限制其物理位置,在一定程度上可以防止黑客冒用IP对服务器进行欺骗攻击。
4.迅速查找客户物理位置只要得知IP地址,就可查到客户端位置。
IP、MAC、PORT这三者的绑定是用了两个原理,一个是静态FDB (Forwarding DataBase),另一个是IP ACL(internet protocol access control list)。
交换机中保存着一份FDB转发表(交换机从它的所有端口接收MAC地址信息,形成MAC地址表并维护它。
当交换机收到一帧数据时,它将根据自己的MAC地址表来决定是将这帧数据进行过滤还是转发。
此时,维护的这张MAC表就是FDB地址表。
如果收到数据帧的目的MAC地址不在FDB地址表中,那么该数据将被发送给除源端口外该数据包所属 VLAN的其他所有端口)。
这个FDB表为交换机如何处理一个收到的数据报文提供依据,默认情况FDB是动态的,当某条FDB表项存在超过老化时间Aging time(不同交换设备时间不等)后就会老化,从FDB表中删除,以防FDB过于庞大。
如果老化时间(Aging time)被设为0,FDB是静态的,不允许交换机随意的、自动的更改FDB,这就实现了某些端口与某些MAC地址的固定对应,而不在此对应范围内的客户机无法收到从交换机来的数据包。
MAC地址与端口绑定详解在网络安全越来越重要的今天,高校和企业对于局域网的安全控制也越来越严格,普遍采用的做法之一就是IP地址、网卡的MAC 地址与交换机端口绑定,但是MAC与交换机端口快速绑定的具体实现的原理和步骤却少有文章。
我们通常说的MAC地址与交换机端口绑定其实就是交换机端口安全功能。
端口安全功能能让您配置一个端口只允许一台或者几台确定的设备访问那个交换机;能根据MAC地址确定允许访问的设备;允许访问的设备的MAC地址既可以手工配置,也可以从交换机“学到”;当一个未批准的MAC地址试图访问端口的时候,交换机会挂起或者禁用该端口等等。
一、首先必须明白两个概念:可靠的MAC地址。
配置时候有三种类型:静态可靠的MAC地址:在交换机接口模式下手动配置,这个配置会被保存在交换机MAC地址表和运行配置文件中,交换机重新启动后不丢失(当然是在保存配置完成后),具体命令如下:Switch(config-if)#switchport port-security mac-address Mac 地址动态可靠的MAC地址:这种类型是交换机默认的类型。
在这种类型下,交换机会动态学习MAC地址,但是这个配置只会保存在MAC 地址表中,不会保存在运行配置文件中,并且交换机重新启动后,这些MAC地址表中的MAC地址自动会被清除。
黏性可靠的MAC地址:这种类型下,可以手动配置MAC地址和端口的绑定,也可以让交换机自动学习来绑定,这个配置会被保存在MAC地址中和运行配置文件中,如果保存配置,交换机重起动后不用再自动重新学习MAC地址,虽然黏性的可靠的MAC地址可以手动配置,但是CISCO官方不推荐这样做。
具体命令如下:Switch(config-if)#switchport port-security mac-address sticky其实在上面这条命令配置后并且该端口得到MAC地址后,会自动生成一条配置命令Switch(config-if)#switchport port-security mac-address stickyMac地址这也是为何在这种类型下CISCO不推荐手动配置MAC地址的原因。
端口绑定2.1 端口绑定命令2.1.1 am user-bind interface【命令】am user-bind mac-addr mac-address ip-addr ip-address interface interface-type interface-number undo am user-bind mac-addr mac-address ip-addr ip-address interface interface-type interface-number 【视图】系统视图【参数】mac-address:绑定的MAC 地址值。
ip-address:绑定的IP 地址值。
interface-type:端口类型。
interface-number:端口编号。
【描述】am user-bind interface 命令用来将合法用户的MAC 地址和IP 地址绑定到指定的端口上。
undo am user-bind interface 命令用来取消MAC 地址和IP 地址与指定端口的绑定。
进行绑定操作后,只有合法用户的报文才能通过端口。
说明:对同一个MAC 地址,系统只允许进行一次绑定操作。
【举例】# 将MAC 地址为00e0-fc00-5101,IP 地址为10.153.1.1 的合法用户与端口Ethernet1/0/1 进行绑定。
<Quidway> system-viewSystem View: return to User View with Ctrl+Z.[Quidway] am user-bind mac-addr 00e0-fc00-5101 ip-addr 10.153.1.1 interface Ethernet1/0/12.1.2 am user-bind【命令】am user-bind mac-addr mac-address ip-addr ip-addressundo am user-bind mac-addr mac-address ip-addr ip-address【视图】以太网端口视图【参数】mac-address:绑定的MAC 地址值。
链路聚合、Trunk、端口绑定和捆绑简析;通常在大多数场景下被不加区别的混用,今天我们简单分析一下各自的含义和区别。
链路聚合是采用不同的聚合、合并方法把多个网络链路并行的连接起以便提供网络带宽和链路冗余,实现网络业务连续性;强调的是交换机端到端的链路,一般涉及端口、网卡和交换机(如LACP)绑定等。
不同交换机厂商采用不同术语描述链路聚合,但目标都是一致的,即将两个或多个端口绑定在一起作为一个高带宽的逻辑端口来提升链路速度、冗余、弹性和负载均衡。
Cisco称作Ether Channel、Brocade称作Brocade LAG,还有基于标准IEEE 802.3ad的LACP(Link Aggregation Control Protocol),该协议在2008年被转入IEEE 802.1ax作为标准,LACP可以动态配置端口聚合,且不依赖任何厂商,因此大部分以太网交换机都支持该协议。
通常情况,交换机之间使用多个端口创建并行聚合/绑定时,生成树协议(STP)会将其视为环路,从技术上来讲,链路聚合技术就是解决该问题,使聚合端口生成单个逻辑链路(single logical link)而不会造成环路。
Trunk技术一般使用在交换机之间,通过冗余链路实现可靠性、通过级联增加端口数量、通过Trunk提供ISL(交换机间链路)链路使用率。
一般分为下面几种场景。
ISL Trunk技术指交换机之间的链路中继,一般用于增加链路端口数量、级联和长距离传输(一般指FC交换机,使用单模光纤可以实现长距离传输)。
VSAN Trunk技术是思科FC交换机特有的概念,指多个VSAN流量可以通过一条ISL链路承载,VSAN类似IP交换机的VLAN,实现二层隔离安全访问。
博科FC交换机也以类似实现隔离的技术叫Zoning。
VLAN/EthernetTrunk技术指对VLAN进行Tag标记,让连接在不同交换机上的相同VLAN中的主机互通,把两台交换机的级联端口设置为Trunk端口,当交换机把数据包从级联口发出去的时候,会在数据包中做一个标记,以便其它交换机识别该数据包属于哪一个VLAN,当其它交换机收到这个数据包后,只会将该数据包转发到标记中指定的VLAN,从而完成了跨越交换机的VLAN 内部数据传输。
交换机聚合状态
在计算机网络中,交换机(Switch)的聚合状态通常是指端口聚合(Port Aggregation),也称为链路聚合(Link Aggregation)或端口绑定(Port Bonding)。
这是一种技术,允许将多个物理网络端口(通常是以太网端口)捆绑在一起,以增加带宽、提高网络可用性和提供冗余。
交换机聚合状态的一些关键点包括:
1.带宽增加:通过将多个端口绑定成一个聚合组(Aggregation Group),可以将它们的带宽叠加在一起,从而增加总体带宽。
这对于处理大量数据流量或提供高性能网络连接非常有用。
2.负载均衡:聚合状态允许网络流量在多个物理链路之间均匀分布,从而避免某个链路过载,提高了网络的负载均衡性能。
3.冗余性:通过配置冗余聚合组,即使一个链路或端口发生故障,仍然可以保持网络连接。
这提高了网络的可用性,减少了中断时间。
4.故障转移:当一个链路或端口发生故障时,流量可以自动切换到其他正常工作的链路,而不会中断网络连接。
这有助于提供无缝的网络体验。
5.配置和管理:聚合状态通常需要在交换机上进行配置和管理,以确保正确的链路绑定和冗余性。
不同厂家的交换机可能有不同的聚合协议,如IEEE 802.3ad(LACP)或静态聚合等。
6.物理连接:在实施聚合状态时,通常需要使用特定的物理链路和交换机端口。
这些链路通常应该具有相同的速率和双工模式。
聚合状态是大型企业网络和数据中心中常见的技术,它有助于提高网络性能、可用性和冗余性。
在配置和管理聚合状态时,网络管理
员需要考虑网络拓扑、设备兼容性和故障恢复策略等因素。
谈谈IP、MAC与交换机端口绑定的方法Jack Zhai 信息安全管理者都希望在发生安全事件时,不仅可以定位到计算机,而且定位到使用者的实际位置,利用MAC与IP的绑定是常用的方式,IP地址是计算机的“姓名”,网络连接时都使用这个名字;MAC地址则是计算机网卡的“身份证号”,不会有相同的,因为在厂家生产时就确定了它的编号。
IP地址的修改是方便的,也有很多工具软件,可以方便地修改MAC地址,“身份冒充”相对容易,网络就不安全了。
遵从“花瓶模型”信任体系的思路,对用户进行身份鉴别,大多数人采用基于802.1x协议的身份认证技术(还可以基于应用的身份认证、也可以是基于Cisco 的EOU技术的身份认证),目的就是实现用户账号、IP、MAC的绑定,从计算机的确认到人的确认。
身份认证模式是通过计算机内安全客户端软件,完成登录网络的身份鉴别过程,MAC地址也是通过客户端软件送给认证服务器的,具体的过程这里就不多说了。
一、问题的提出与要求有了802.1x的身份认证,解决的MAC绑定的问题,但还是不能定位用户计算机的物理位置,因为计算机接入在哪台交换机的第几个端口上,还是不知道,用户计算机改变了物理位置,管理者只能通过其他网管系统逐层排查。
那么,能否可以把交换机端口与IP、MAC一起绑定呢?这样计算机的物理位置就确定了。
首先这是有关安全标准的要求:1)重要安全网络中,要求终端安全要实现MAC\IP\交换机端口的绑定2)有关专用网络中,要求未使用的交换机端口要处于关闭状态(未授权前不打开)其次,实现交换机端口绑定的目标是:∙∙防止外来的、未授权的计算机接入网络(访问网络资源)∙∙当有计算机接入网络时,安全监控系统能够立即发现该计算机的MAC与IP,以及接入的交换机端口信息,并做出身份验证,属于未授权的能够报警或终止计算机的继续接入,或者禁止它访问到网络的任何资源∙∙当有安全事件时,可以根据用户绑定的信息,定位到机器(MAC与IP)、定位到物理位置(交换机端口)、定位到人(用户账号、姓名、电话…)二、实现交换机端口信息绑定的策略根据接入交换机的安全策略,可以把端口信息绑定分为两种方式:静态方式与动态方式1、静态方式:固定计算机的位置,只能在预先配置好的交换机端口接入,未配置(授权申请)的不能接入网络。
神州数码交换机端口绑定以神州数码DCS-3950进行端口绑定端口绑定的重要性就不再多说了,避免电脑随意接入交换机一、仅MAC与端口绑定(通过Port-Security)DCS-3950-26C#confDCS-3950-26C(config)#int e0/0/1 --端口绑定需要进入到接口内部,仅对当前口生效DCS-3950-26C(config-if-ethernet0/0/1)#switchport port-security --开启端口安全模式DCS-3950-26C(config-if-ethernet0/0/1)#switchport port-security mac-address aa-22-33-44-55-66 --对aa-22-33-44-55-66与端口1进行绑定DCS-3950-26C(config-if-ethernet0/0/1)#测试现象,当aa-22-33-44-55-66这台电脑连接到端口1时,可以正常工作,连接到其他端口时,交换机不为其转发数据帧,网络不通;当其他MAC地址连入交换机时,插入到包括1在内的任意端口,都可以正常工作,交换机都为其转发。
端口安全缺省一个端口只能配置一个条目,如需配置多个条目,需要进行如下设置DCS-3950-26C(config-if-ethernet0/0/1)#switchport port-security maximum ?<1-128> Maximum addrs <1-128>输入所需的数目即可。
另外,port-security还可以动态学习,然后锁定,再转化,动态绑定DCS-3950-26C(config-if-ethernet0/0/1)#switchport port-security lockDCS-3950-26C(config-if-ethernet0/0/1)#switchport port-security convert锁定之后,交换机不再学习从这个端口新接入的MAC结论:被绑定的MAC地址只能工作在绑定的端口上;没有绑定的MAC地址可以工作在任意端口上。
H3C交换机端口绑定IP+MAC的思路及配置客户的一个新项目,最近需要在H3C的交换机上做端口+IP+MAC绑定,最终目的是为了实现上网控制,大家都知道这是一件很繁琐的工作,前期要收集好MAC+IP+端口还有使用人的信息,客户终端有500台左右,所以前期收集资料的工作量蛮大,本来告诉客户在上网行为管理设备上做用户名密码认证+ARP绑定的方式,但客户说之前在核心交换机上做过ARP绑定,但有些人把本地的IP和MAC修改为与能上网的电脑IP和MAC一模一样,这样两台机器相当于同一台机器一样,都能同时在线上网了,也不会报IP地址冲突,只是上网速度会有一定的影响(会有丢包),若其中一台电脑不在线,另一台修改过得电脑上网完全没有影响。
结合上网行为管理设备做用户名和密码认证,用户又说怕能上网的那些人把自己的用户名和密码告诉别人,没办法彻底控制!晕现在基本上只能按照他们的要求去在接入层交换机上做端口+IP+MAC绑定了,接入层交换机有两种型号:S5120-52C-EI和S3100V2-16TP-EI,看了一下两种交换机都支持这种端口+IP+MAC的绑定方式,那就根据客户的需求来干吧~ 以下是总体思路和方法:首先,收集各终端的IP+MAC+端口信息以及使用人信息(估计3个工作日的时间),并做好记录;然后,在各台接入层交换机上根据前面收集到的信息就行配置(2个工作日左右),下面我们看一下配置:(1)1个端口下只有一台电脑的绑定方法如IP地址为10.100.10.2 ,MAC地址为00-1A-4D-1E-39-2D 的电脑接在交换机的G1/0/2端口,那么可以进行如下配置:interface GigabitEthernet 1/0/2 首先进入2号端口user-bind ip-addr 10.100.10.2 mac-addr 001A-4D1E-392D 绑定IP和MAC(2)1个端口下接了一个小交换机的绑定方式如:1号端口下接了一个8口的小交换机,交换机接有3台电脑,3台电脑的IP和MAC如下1电脑的IP:10.100.11.2 MAC:00-1A-4D-1E-39-812电脑的IP:10.100.11.3 MAC:00-1A-4D-1E-39-8E3电脑的IP:10.100.11.4 MAC:00-1A-4D-1E-39-8F那么这三台电脑都需要进行捆绑,可以进行如下配置:interface GigabitEthernet 1/0/1 首先进入1端口user-bind mac-addr 001a-4d1e-3981 ip-addr 10.100.11.2user-bind mac-addr 001a-4d1e-398e ip-addr 10.100.11.3user-bind mac-addr 001a-4d1e-398f ip-addr 10.100.11.4(3)若端口下没有接任何设备,那么当新接入一台终端后,就没有IP+MAC地址的限制了,就有可能会正常上网,因此还需要在这些空闲端口上关掉MAC地址自动学习的功能,命令如下:interface GigabitEthernet 1/0/20 首先进入空闲的20号端口mac-address mac-learning disable 关掉此端口的MAC地址学习功能最后,抽几台电脑进行测试,更改IP或MAC或端口,看看是否满足客户需求,但这里有一点要说明的是对于上面第二种情况,若端口接了一个小交换机或HUB,其中一台不能上网的电脑把IP和MAC修改为同接在一台小交换机上的可以上网的电脑的IP和MAC,也是可以上网的,现象就是同时在线会网速慢丢包,不同时在线是没有影响的。
端口聚合总结介绍在计算机网络中,端口聚合是一种通过将多个物理端口合并为一个逻辑端口来提高网络带宽和可靠性的技术。
本文将对端口聚合进行总结,包括端口聚合的定义、使用场景、实现方式以及优点和缺点。
端口聚合的定义端口聚合,又称链路聚合、端口绑定或端口捆绑,是指将多个物理端口与一个逻辑端口绑定在一起,形成一个聚合组。
这个聚合组可以被视为一个单一的高带宽通道,提供更高的数据吞吐量和更好的网络可靠性。
使用场景端口聚合通常用于以下几个场景:1.提高带宽:通过将多个物理端口绑定为一个逻辑端口,可以增加带宽,从而满足高带宽需求的应用,如视频流媒体、大规模数据传输等。
2.实现容错:当网络环境不稳定或某个物理链路出现故障时,端口聚合可以自动切换到其他正常工作的物理链路上,提供更高的可靠性和容错能力。
3.负载均衡:通过将网络流量分布到多个物理链路上,端口聚合可以实现负载均衡,提高网络性能和用户体验。
实现方式端口聚合可以通过不同的协议和技术实现,下面是几种常见的实现方式:1.链路聚合控制协议(LACP):LACP是一种动态协议,可以自动检测和配置端口聚合。
它使用状态协商协议来协商物理链路的状态,并动态调整聚合组中的端口。
LACP通常用于交换机之间的端口聚合。
2.静态端口聚合:静态端口聚合需要管理员手动配置物理端口的聚合组。
管理员需确保所有成员端口的配置一致,并在交换机上设置正确的聚合组参数。
静态端口聚合适用于不支持LACP的情况。
3.服务提供商聚合(SPB):SPB是一种技术,可以实现跨多个子网的端口聚合。
SPB使用MAC地址和路由信息来动态路由和负载均衡网络流量,提供更高的可靠性和可扩展性。
优点和缺点端口聚合具有以下优点:•增加带宽和吞吐量,提高网络性能;•提供冗余和容错能力,增强网络可靠性;•实现负载均衡,均衡网络流量分布。
然而,端口聚合也存在一些缺点:•配置和管理复杂:端口聚合需要正确配置和管理物理端口和聚合组,需要一定的技术知识和经验;•依赖硬件支持:某些交换机和设备可能不支持端口聚合,限制了其应用范围;•部分性能损失:由于聚合组内的物理链路是共享的,可能存在一定的性能损失。
实验报告
端口捆绑
一、端口捆绑的优点:
1. 带宽可伸缩性;
2. 容错;
3. 负载均衡;
4. 网络用户透明。
二、端口捆绑要求:
1. 双数个端口捆绑(最多8个端口捆绑);
2. 在模块上端口必须是连续的;
3. 端口属于同一个vlan;
4. 端口要配置为中继模式,两个交换机的配置参数一样。
三、配置
1.在两个交换机上分别同时进入两个要捆绑的端口,配置成中继模式,并捆绑。
2. 开启要捆绑的端口
3. 用show etherchannel summary查看是否配置成功。
(P代表成功,D代表不成功)
4. 配置负载均衡。
(在全局模式下,用命令port-channel load-balance加方式。
)
5. 添加vlan。
6. 把交换机上的端口加入vlan。
交换机1的端口F0/7加入vlan2,端口F0/8加入vlan3
交换机2的端口F0/5加入vlan2,端口F0/6加入vlan3
7. 禁用vlan。
8. 查看端口是否已禁用vlan。
网络端口:在网络技术中,端口(Port)大致有两种意思:一是物理意义上的端口,比如,ADSL Modem、集线器、交换机、路由器用于连接其他网络设备的接口,如RJ-45端口、SC端口等等;二是逻辑意义上的端口,一般是指TCP/IP协议中的端口,端口号的范围从0到65535,比如用于浏览网页服务的80端口,用于FTP服务的21端口等等。
端口分类按端口号可分为3大类:(1)公认端口(Well Known Ports):从0到1023,它们紧密绑定(binding)于一些服务。
通常这些端口的通讯明确表明了某种服务的协议。
例如:80端口实际上总是HTTP通讯。
(2)注册端口(Registered Ports):从1024到49151。
它们松散地绑定于一些服务。
也就是说有许多服务绑定于这些端口,这些端口同样用于许多其它目的。
例如:许多系统处理动态端口从1024左右开始。
(3)动态和/或私有端口(Dynamic and/or Private Ports):从49152到65535。
理论上,不应为服务分配这些端口。
实际上,机器通常从1024起分配动态端口。
但也有例外:SUN的RPC端口从32768开始。
常见的端口号详解1)公认端口(Well Known Ports):从0到1023,它们紧密绑定于一些服务。
通常这些端口的通讯明确表明了某种服务的协议。
例如:80端口实际上总是HTTP通讯。
2)注册端口(Registered Ports):从1024到49151。
它们松散地绑定于一些服务。
也就是说有许多服务绑定于这些端口,这些端口同样用于许多其它目的。
例如:许多系统处理动态端口从1024左右开始。
3)动态和/或私有端口(Dynamic and/or Private Ports):从49152到65535。
理论上,不应为服务分配这些端口。
实际上,机器通常从1024起分配动态端口。
但也有例外:SUN的RPC端口从32768开始如下:端口:0服务:Reserved说明:通常用于分析操作系统。
端口的五种绑定方式
1. 随机绑定:系统会自动选择未被占用的随机端口进行绑定。
这种方式适用于无需
指定具体端口的应用,但可靠性较低。
2. 固定绑定:可以手动指定应用使用的特定端口进行绑定,确保应用可始终使用该
端口。
这种方式常用于需要提前配置端口映射或者安全策略的情况。
3. 动态绑定:应用在启动时,会向操作系统请求一个未被占用的临时端口进行绑定,并在使用完毕后释放端口。
这种方式适用于短暂的应用连接,如临时数据传输。
4. 绑定到指定网卡:可以将应用绑定到指定的网络接口上的端口,限制应用只能通
过该接口进行通信。
这种方式常用于多网络接口环境下,需要对流量进行管理和控制的情况。
5. 绑定到特定IP地址:可以将应用绑定到特定的IP地址上的端口,限制应用只能通过该地址进行通信。
这种方式适用于多网卡多IP地址的情况,常用于服务器上不同网络服务的区分和管理。
这些绑定方式可以根据具体的应用需求和网络环境进行选择和配置,以实现最佳的网
络通信效果。
组网需求:交换机对PC1进行IP+MAC+端口绑定,使交换机的端口E1/0/1下,只允许PC1上网,而PC1在其他端口上还可以上网。
配置步骤:1.进入系统模式<H3C>system-view2.配置IP、MAC及端口的绑定[H3C]am user-bind mac-addr 000f-e201-1112 ip-addr 1.1.1.1 interface e1/0/1配置关键点:1.同一IP地址或MAC地址,不能被绑定两次;2.经过以上配置后,可以完成将PC1的IP地址、MAC地址与端口E1/0/1之间的绑定功能。
此时端口E1/0/1只允许PC1上网,而使用其他未绑定的IP地址、MAC地址的PC机则无法上网。
但是PC1使用该IP地址和MAC地址可以在其他端口上网;3.h3c交换机上有些产品只支持IP+MAC+端口三者同时绑定,有些可以绑定三者中任意二者,即IP+端口、MAC+端口、IP+MAC这三种绑定。
H3C 3600/H3C S5600/S3900/S5600/S5100EI 系列产品只支持三者同时绑定;S3000系列中S3026EFGTC/S3026C-PWR/S3050C支持三者同时绑定或任意两者的绑定;S3500系列设备除了S3526EC外都不支持上述三者或任意两者绑定;S5000系列设备支持三者或任意两者绑定;H3C S5500-SI、S2000C/S2000-EI、S3100SI系列设备不支持三者或任意两者的绑定。
H3C S5100 交换机端口绑定首先登录交换机,进入管理状态System-View第一种情况:1个端口只有一台电脑如何绑定如:某台电脑的IP:10.119.100.1 MAC:00-1A-4D-1E-39-8D 要把此电脑绑定到交换机的24号端口操作如下:interface GigabitEthernet 1/0/24 首先进入24端口am user-bind mac-addr 001a-4d1e-398d ip-addr 10.119.100.1 绑定IP和MAC就2步就成功了!(如果命令打错了,要撤销,请在命令前加undo)第二种情况:1个端口下接了一个小交换机如何绑定如:1号端口下接了一个8口的小交换机,交换机接有3台电脑,3台电脑的IP和MAC如下1电脑的IP:10.119.100.2 MAC:00-1A-4D-1E-39-812电脑的IP:10.119.100.3 MAC:00-1A-4D-1E-39-8E3电脑的IP:10.119.100.4 MAC:00-1A-4D-1E-39-8F要把此电脑绑定到交换机的1号端口操作如下:interface GigabitEthernet 1/0/1 首先进入1端口am user-bind mac-addr 001a-4d1e-3981 ip-addr 10.119.100.2 需要都绑am user-bind mac-addr 001a-4d1e-398e ip-addr 10.119.100.3am user-bind mac-addr 001a-4d1e-398f ip-addr 10.119.100.4(如果命令打错了,要撤销,请在命令前加undo)第三种情况:端口下没接任何设备额如:2号端口没有接任何设备interface GigabitEthernet 1/0/2 首先进入2端口mac-address max-mac-count 0 关掉此端口的学习MAC功能--------------------------------------------------------------- 常用命令1、查看所有配置 dis cu2、配置好必须要保存 sa3、查看绑定情况dis am user-bind。
端口绑定是什么意思?
我是一个电信的外线施工人员,经常碰到要为用户解绑端口的情况,但是那么久了却不知道
端口绑定是怎么回事?
端口绑定,绑的是什么?我不是数据室的人,所以不懂。
解绑又是怎么解的,绑定是绑设备
上么
不知道楼主说的是不是宽带上网的端口绑定?如果是的话,我可以告诉你。
宽带上网的端口绑定是指用户从某一个DSLAM的某个端口上线,DSLAM需要启用PPPoE+功能,启用后,DSLAM侦听到PPPoE协议流量,自动会将用户上到DSLAM的端口信息通过PPPoE+协议通告给BRAS,BRAS再将DSLAM上到BRAS的端口信息也封装进PPPoE+协议包里面。
再通过Radius 协议属性通告给Radius服务器。
Radius服务器上存储着用户的端口信息,与BRAS上报的用户端口信息进行比较,如果符合,用户即可上网,不符合就不让用户上网。
比如,用户从某个DSLAM的第1个业务槽的第2个口上线,DSLAM会通过PPPoE+把该信息报给BRAS,DSLAM 连到BRAS的第3个业务槽的第5个口,BRAS也会到该端口信息封装好加上DSLAM送给它的用户端口信息一并通过Radius协议通告给Radius服务器,Radius服务器处存储着用户的端口信息,与BRAS上送的端口信息做比较,如果相符即允许用户上网,否则,就禁止用户上网。
端口绑定可以访止别人偷了你的帐户信息后,到别处上网。
如果没有端口绑定,任何人偷了你的帐户信息都可以随便找个别的什么地方上网,有了端口绑定则不同了,即使他偷了你的帐户信息跑到别处上网,DSLAM、BRAS上报的端口信息就会与Radius 服务器上的信息不符,他也就上不了网了。
还有DHCP option82也可以实现类似功能;中国电信还推出了一个VBAS协议,也可能实现类似功能。
